攻撃と脅威
DNS ハイジャック
定義
クライアント設定、ルーター設定、リゾルバ応答、または権威 DNS レコードを書き換え、DNS 解決を攻撃者が制御する応答へ誘導する攻撃。
DNS ハイジャックは、利用者と目的のサービスをつなぐ DNS の経路を破壊する一連の技術の総称です。端末上(マルウェアが DNS 設定や hosts を変更)、家庭・企業ルーター(侵害された CPE)、再帰リゾルバ(キャッシュ汚染や中間者攻撃)、権威 DNS 提供事業者(アカウント侵害、認証情報窃取、レジストラ悪用)など、さまざまな層で発生します。DNS を乗っ取られると、攻撃者はメールの傍受、対象名に対する TLS 証明書の取得、正規ドメインを偽装したフィッシング、その他の侵入の足がかりとしての利用が可能です。DNSpionage や Sea Turtle といった有名なキャンペーンがその典型例です。対策には、DNSSEC、レジストリ/レジストラロック、CAA レコード、DNS レコードと Certificate Transparency ログの監視、DNS 提供事業者アカウントの MFA、検証済みの再帰リゾルバ(DoH/DoT)の利用などがあります。
例
- 攻撃者がレジストラアカウントを侵害し、被害者の NS を自身の DNS に書き換え、その後対象名で TLS 証明書を取得してサイトを偽装する。
- ルーターのマルウェアが家庭内の全機器を不正なリゾルバへ誘導し、銀行ドメインをフィッシングサーバーへリダイレクトする。
関連用語
ドメインハイジャック
登録済みドメインに対するレジストラまたはレジストリレベルでの不正な制御権奪取。攻撃者はトラフィック・メール・信頼を悪意ある基盤へ向け直せる。
DNS スプーフィング
偽造した DNS 応答を注入し、正規ドメインへの問い合わせを攻撃者管理の IP アドレスへ誘導する攻撃。
DNS キャッシュポイズニング
DNS リゾルバのキャッシュに偽造レコードを挿入し、TTL が切れるまで以降の問い合わせが攻撃者指定のアドレスを返すようにする攻撃。
ファーミング
DNS、hosts ファイル、ローカルルーティングなどを改ざんし、リンクをクリックさせずに正規サイトから悪意あるサイトへ密かにリダイレクトさせる攻撃。
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
DNSSEC
DNS のゾーンデータを暗号署名する拡張仕様で、リゾルバが応答の真正性と完全性を検証できるようにする。